Tagok jelszavainak tömeges törlése!

Boga képe

Üdvözlöm önöket! A napokban a drupal 6.os oldalamat támadás érte és a felhasználók jelszavai kikerültek az internetre. Ezért szeretném az összes felhasználó jelszavát alaphelyzetbe állítani vagy törölni, hogy illetéktelenek ne járkáljanak az oldalon. A segítséget előre is köszönöm.

Taxonomy upgrade extras: 
Fórum: 
dongodani képe

Ezzel az erővel bombakészítési, vagy bankrablási tanácsokat is kérhetnél egy nyilvános felületen...:-) Nem hiszem, hogy pont itt fognak arra nézve tanácsokat adni, hogy lehet meghekkelni a Drupal-t.

0
0
Boga képe

Tehát ha jól értem meghekkelnek egy drupalt, majd a jelszavakkal visszaélnek, akkor nincsen más teendő mint csendben üldögélni mert ha az ember kérdez még ő lesz a vádlott? :D Remek.De számomra elég hihetetlen, hogy esetleges biztonsági probléma esetén a drupal tehetetlen.

0
0
dongodani képe

Gondolj csak bele. Nyílt színen kitárgyalni, hogy miként lehet tömegesen bizalmas felhasználói adatokat módosítani egy olyan rendszer esetében, ahol erre szabályos megoldás nincs, legfeljebb csak valamilyen trükközés, amivel esetleg jó ötleteket adhat a wanabe pistikéknek egy kis hekkerkedésre. Persze mindenki maga tudja, nyomni kell a jobbnál jobb tanácsokat, hol és milyen backdoorokat lehet nyitni a Drupal-on, akár a teljes felhasználói adatbázisra is. Lehet hogy túlaggódom a dolgot, de jobb az óvatosság...

0
0
Boga képe

Én azon a gondolatmeneten indultam el, hogy teljes hozzáféréssel az adatbázisban is lehet elvégezni bizonyos módosításokat. Hiszen mindnyájan láttunk már olyat, hogy maga az oldal nem engedett be vagy a rövid urleket költözés után az adatbázisban kapcsoljuk ki. Nyilván ezek nem a legjobb, legpontosabb példák de így talán más megvilágításba kerül a fenti témám. Sajnos a baj már megtörtént és a jelszavakat vissza is fejtették. Én olyan megoldást szeretnék ami meggátolja az ilyen fiókokkal való belépést. Laikus ésszel a jelszavak alaphelyzetbe állítása vagy a törlésük jutott az eszembe.

0
0
fekete képe

Az adatbázisban tudod törölni, igaz egyesével.

0
0

Üdvözlettel: Black

Boga képe

Köszönöm a választ! A rengeteg user miatt azt hiszem ez nem járható út.

0
0
szantog képe

Én szigorúan (localhoston először) ezt próbálnám meg a db-n:
UPDATE users SET password='';

Majd megnézném, hogy a username + üres pwd-vel be lehet-e lépni (szinte kizárt, még D6-nál is).

Aztán kipróbálnám, hogy a jelszóemlékeztető link működik-e.

Amúgy 99%, hogy ez így megy, hirtelen nem találtam semmit, ami ez ellen szólna - persze ettől még lehet, szóval át kell gondolni.

3
0

----
Rájöttem, miért kérdezek olyan ritkán a drupal.hu-n. Amíg szedem össze az infokat a kérdéshez, mindig rájövök a megoldásra.

Boga képe

Üdvözlöm. Köszönöm a választ. Ha lesz egy kis ideje leírná nekem ennek a pontos menetét lépésről lépésre? Sajnos nagyon kezdő vagyok a témába. Előre is köszönöm.

0
0
dongodani képe

Májszíkjuelben a Drupálod adatbázisából kiválasztod a júzersz táblát, majd felül az SQL menüpontot és az SQL lekérdezések mezőbe becopyzod a kolléga szkriptjét, végül az indítás gombra kattintasz. Ahogy a kolléga is írta, figyelj rá, hogy működjön az új jelszó igénylése funkció, máskülönben se isten se hozzád, többet nincs belépés a többi felhasználónak, vagy küldözgethetsz nekik jelszót egyesével és akkor ott vagy, ahol a part szakad...:-)
Előtte azért még mentsd el a hashelt karakterláncot+a jelszót az 1-es felhasználó sorában a felhasználónévvel együtt, így végső esetben is vissza tudod majd módosítani a saját belépési adataidat a táblában.
A 7-esen kipróbáltam lokálban és nálam működik amit fentebb leírtam, a 6-oson szerintem szintén mennie kell...

0
0